您正在使用IE低版浏览器,为了您的雷峰网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
此为临时链接,仅用于文章预览,将在时失效
政企安全 正文
发私信给史中
发送

16

上传隐私照片?百度全系App被曝严重漏洞

本文作者:史中 2015-10-28 11:51
导语:安装了百度App的用户请举手。

最近火热火热的乌云平台又曝重大漏洞,这次中枪的是百度。

根据漏洞概要,百度全系安卓App全军覆没。

网上流传的的漏洞演示视频

根据这个名为“fgdgf”的ID上传的漏洞演示可以看出,这个漏洞可造成的伤害值很大,黑客在不接触用户手机的情况下,就可以:

1、对手机实现远程操控


2、安装指定应用


3、启动任意程序


4、上传隐私短信和羞羞的照片


5、弹对话框显示广告或者钓鱼链接

上传隐私照片?百度全系App被曝严重漏洞

安全研究员 @蒸米spark 的微博截图

几乎在同一时刻,来自阿里的研究院兼白帽子“瘦蛟舞”和“蒸米spark”在微博上爆料,称“发现了一个漏洞,会影响Android上数个用户过亿的App”,并且给这个漏洞命名为“wormhole(虫洞)”贴出了演示视频。虽然视频中该App被打上了马赛克,但从视频里还是可以看出,链接里有“baidu”的字样。

对此,雷锋网联系了漏洞的发现者蒸米,他表示:“这个漏洞确实是存在的,可能产生的危害很大。由于厂商还没有修复,所以不方便透露更多的技术细节。不过这些有漏洞的App基本上是一个厂家的。”

上传隐私照片?百度全系App被曝严重漏洞

提交乌云的漏洞概要

乌云上提交的漏洞概要显示,漏洞作者是匿名账号“路人甲”,漏洞的状态为“厂商已经确认”。根据乌云的规则,漏洞的细节只有在厂商修复或者一段时间之后才能公布,所以暂时无法得知漏洞的详情。

根据熟悉Android漏洞挖掘的业内人士透露,这个漏洞是基于百度的广告端口存在身份验证和权限控制缺陷而产生的。而此端口本来是用于广告网页、升级下载、推广App的用途。黑客拿下这个端口的权限,便可以获得手机近乎全部的控制权。

前述业内人士还透露,目前百度可能已经紧急修复了这个漏洞,并不需要过度恐慌。

所以手机里存有羞羞照片的童鞋们,似乎不用急着删掉百度App了。

雷峰网原创文章,未经授权禁止转载。详情见转载须知

分享:
相关文章

编辑

雷锋网编辑,关注科技人文,安全、黑客及芯片。
当月热门文章
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说